tanglilan的博客

原创 IPSEC配置

7.测试VPN建立与私网连通性。份认证方式、DH密钥组、生命周期。加密算法、验证hash算法、身。

原创 IKE工作过程

•。

原创 IPSec 安全基础

不同的组将产生的公钥和私钥以及KDH的长度是不同的。

原创 AAA服务器技术

•远程认证拨号系统）是分布式的交互协议•客户端/服务器结构•基于UDP传输，1812、1813端口 （1812用于认证、授权，1813用于计费）•共享密钥、多种认证方式•TLV结构，利于扩展•System，终端访问控制器控制系统协议）是一种增强的安全协议•H3C设备实现的HWTACACS是在TACACS+基础上进行了功能增强的安全协议•实现了多种类型用户的AAA功能•与RADIUS协议的区别2.2.2 TACACS+报文结构•三种认证报文：•请求和响应•请求和响应。

原创 AC 内容审计技术

1、微信网页版的聊天内容是否可以审计？微信网页版的聊天内容是可以审计的。2、开启SSL内容识别后，有证书告警，怎么消除？开启 SSL 内容识别后出现证书告警，可通过在 AC（上网行为管理设备）上安装 SSL 识别根证书来消除告警。既然准入程序是exe格式，那手机可以安装吗？准入系统只支持在windows pc上安装，如果是非windows pc启用了准入，则无法安装准入客户端插件，也无法上网。如果对全网用户启用了准入策略，则内网有非windows pc（如手机或平板）要求经过。

原创 AC 应用控制技术

数据包单向经过我们设备是否可以控制？不能。网络设备对数据包的控制通常依赖于对双向流量的检测与处理逻辑。当数据包单向经过设备时，设备缺乏完整的会话上下文（比如无法获取请求对应的响应等双向交互信息），难以准确识别应用、判断流量性质，也无法基于完整的流量逻辑执行诸如重定向、封堵等控制操作。简单来说，很多网络控制策略的实现需要基于“请求 - 响应”这样的双向流程来建立规则和进行处理，单向的数据包无法提供足够的信息让设备完成有效的控制。上网行为管理已经内置规则库已经覆盖常见的应。

原创 AC 用户认证技术

（1）什么是超文本？包含有超链接(Link)和各种多媒体元素标记(Markup)的文本。这些超文本文件彼此链接，形成网状(Web)，因此又被称为网页(Web Page)。这些链接使用URL表示。最常见的超文本格式是超文本标记语言HTML。（2）什么是URL？URL即统一资源定位符UniformResourceLocator)，用来唯一地标识万维网中的某一个文档。URL由协议、主机和端口默认为80)以及文件名三部分构成。如：（3）什么是超文本传输协议HTTP？

原创 AC 上网行为组网方案

设备以网桥模式部署时对客户原有的网络基本没有改动。网桥模式部署AC时，对客户来说AC就是个透明的设备，不会对原有网络的结构和配置等产生明显影响。如果因为AC自身的原因而导致网络中断时可以开启硬件bypass功能，即可恢复网络通信。bypass解释：在网络设备中，bypass（旁路）功能指的是当设备出现故障、异常（如硬件损坏、软件故障导致设备无法正常转发数据 ）或维护操作（如设备升级、配置更改等 ）时，让网络流量绕过故障设备，直接在网络链路中进行传输，以维持网络通信不中断。

原创 服务器的安全检测和防御技术

3. IPS入侵检测和防御技术主要对网络、系统的运行状况进行监视，尽可能去发现各类攻击企图、攻击行为或者攻击造成的结果，起到检测预警的作用。能监视网络、系统的运行状况，不仅可以发现攻击企图、攻击行为，还能主动阻止这些攻击，在检测的基础上具备防御拦截的能力。，即Web应用防护，主要用于保护Web服务器不受攻击，而导致软件服务中断或被远程控制。WAF常见攻击手段有哪些？1SQL注入2XSS攻击3、网页木马4、网站扫描5WEBSHELL6、跨站请求伪造7、系统命令注入8。

原创 AC 上网行为安全概述

这三要素开展，通过先实现对这三方面的 “可视”，即清晰掌握非法与合法用户终端情况、各类应用内容（如合规与违规网站、网络行为等）及流量类型（如流媒体、P2P 等），进而达成 “可控”，以此规范网络使用，保障网络环境安全、高效与合规。面向全行业有互联网出口的用户，解决员工随意用网、上网体验差、需审计等问题，通过网页过滤、应用封堵、流量控制与内容审计等，提升工作效率、保障核心业务、满足合规要求。

原创 终端安全检测和防御技术

C&C 服务器（Command and Control Server，命令与控制服务器）是黑客或网络攻击者用于远程控制受感染设备（如计算机、移动设备、物联网设备等）的核心基础设施。它相当于攻击者的 “指挥中心”，通过特定协议与被感染设备（常被称为 “僵尸机”）进行通信，下达攻击指令、窃取数据或执行其他恶意操作。是最为严重的安全问题，黑客利用病毒木马蠕虫等等多种入侵手段控制终端，形成僵尸网络，进一步实现终端存储的信息被窃取、终端被引导访问钓鱼网站、终端被利用作为攻击跳板危害其他的各类资源等问题。

原创 下一代防火墙组网方案

广域网的链路故障检测：①DNS解析；②PING。链路故障检测不会因检测失败而停止。多条外网线路情况下，必须开启链路故障检测功能。

原创 防火墙概述

用“会话表”跟踪通信状态，决定是否放行流量“在应用层（HTTP协议）拦截并校验用户身份”。用户访问 Web 服务器→应用层网关拦截请求→要求输入账号密码→校验通过后，网关替用户转发请求→服务器返回内容，本质是 “在应用层强制插入身份认证，保障服务器安全”。

原创 攻击实验（ARP欺骗+洪水攻击）

ioa——插入，Esc——退出插入，进入命令行，:wq——保存并退出。意思是：任何域名解析为A类时，都会解析为192.168.37.135（2）开启apache服务。

原创 网络安全等级保护（等保）2.0 概述

根据信息、信息系统在国家安全、经济建设、社会生活中重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。

原创 信息安全概述

勒索病毒是一种特殊的恶意软件，它会感染用户的计算机、手机等终端设备，对设备中的文档、图片、视频等重要数据进行加密，使用户无法正常访问。随后，攻击者会向用户索要赎金，声称只有支付赎金后才会提供解密密钥，让用户恢复数据。

原创 OSPF多区域实验

原创 OSPF 协议（多区域）

ABR或ASBR将具有相同前缀的路由信息聚合后发布到其他区域。①减少LSA3类、LSA5类的数目，减少路由信息；②减小路由表的规模；③提高路由器的运算速度。注意，配置命令有not-advertise时，细化路由和汇总路由都不发布，没有时，只发布汇总路由。12.OSPF 特殊区域特殊区域是指人为定义的一些区域，它们在逻辑中一般位于OSPF区域的边缘，只与骨干区域相连。Stub区域 （末梢区域）Totally Stub区域 （完全末梢区域）NSSA区域 （非纯末梢区域）

原创 OSPF路由协议（单区域）

SPF— —最短路径优先邻居表：记录了与本地路由器建立了邻接关系的邻居路由器信息。包含邻居路由器的 Router ID、接口 IP 地址、邻居状态（如 Full、Init 等）、Hello 间隔、Dead 间隔等。用于维护邻居关系，确保与相邻路由器之间的通信正常。通过定期发送和接收 Hello 报文来发现和维护邻居关系，当邻居状态变为 Full 时，表示双方已经成功建立邻接关系，可以进行链路状态信息的交换。

原创 OSPF 实验（单区域）

【代码】OSPF 实验。

原创 IRF 真机实验

原创 动态路由协议基础

发现自己的路由信息（收集直连网段信息）；将自己知道的路由信息通告给其他路由器；基于所掌握的路由信息进行路由计算，算出最优路由加入路由表；当网络拓扑发生变化后，能重新计算出最优路由。

原创 设备虚拟化技术

IRF（智能弹性架构）是将多台设备通过堆叠口连接在一起形成一台“联合设备”。

原创 VRRP技术（虚拟路由器冗余协议）

VRRP 主路由器切换时，新主会发无故 ARP 刷新交换机 MAC 表，保障流量转发；功能默认是否开启因设备有差异，若用接口 MAC 发 VRRP 报文，未开此功能会导致二层不通。

原创 MSTP实验+BPDU保护机制+根桥保护机制+VRRP实验+VRRP的路径追踪实验

并且满足SW1中实例10的优先级高于SW2中实例10的优先级，SW2中实例20的优先级高于SW1中实例20的优先级。MST域名称、修订级别、VLAN与MSTI的映射关系、端口的MSTP相关配置。），否则不生效，并且如果后面要对域进行修改，当配置完STP域后，必须要激活（

原创 MSTP技术

拥有相同MST配置标识的网桥构成的集合。

原创 RSTP技术

TCN BPDU是，用于在生成树协议中通知拓扑变化。(非根网桥告诉根网桥，拓扑发生改变）①有端口转变为forwarding状态，且该网桥至少包含一个指定端口；②有端口从forwarding状态或learning状态转变为blocking状态或者disable状态。4. TCA以及TC置位的配置BPDU在STP中的Flag字段中，STP只使用TCA和TC置位，而RSTP在STP的基础上，使用了剩余的6个bit位。TCA置位的配置BPDU用于，TC置位的BPDU用于。

原创 ENSP路由综合实验 + 思科（cisco)/华为（ensp)链路聚合实验

华为设备Trunk接口默认仅允许VLAN1通过。

原创 可靠性概述+链路聚合

在思科设备里，命令加了overload是PAT，不加是NAT；在华为设备里，默认是PAT，命令加no-pat是NAT。

原创 上公网——Internet接入

（1）发现阶段（建立会话标识）客户端广播发送，用于发现网络中的 PPPoE Server。Server 回应客户端，告知自身存在。客户端向选定 Server 请求分配 Session ID。Server 分配唯一 Session ID 给客户端，会话通道建立。（2）会话阶段（数据传输与协商）基于建立的会话，依次完成LCP（链路配置）、认证（如 PAP/CHAP）、NCP（网络层参数协商，如 IP 分配 ）。协商完成后，通过 PPPoE 会话传输业务数据（如上网流量）。

原创 WAN广域网技术

（1）传统标准ACL（编号1-99）access-list ACL编号 {deny | permit} 源IP地址 通配符掩码（2）传统扩展ACL（编号100-199）access-list ACL编号 {deny | permit} 协议 源IP地址 通配符掩码 目的IP地址 通配符掩码 [operator] [port]（3）命令标准ACL命令格式：ip access-list standard ACL名称。

原创 ACL技术与包过滤

2.2华为/H3CACL包过滤基本原理。

原创 静态路由技术

路由表有 192.168.1.0/24 、192.168.0.0/16 ，收到目的 IP 192.168.1.10 ，与运算后，/24 匹配出 192.168.1.0 ，/16 匹配出 192.168.0.0 ，因为 /24 掩码更长、匹配更细，就选 192.168.1.0/24 这条路由转发，这就是最长掩码匹配的逻辑。

原创 二层环路避免——STP技术

① MAC地址学习让交换机“记住”设备的位置；② 基于MAC表的转发决策让交换机“精准”传递数据，既避免了集线器的广播风暴，又实现了局域网内的高效通信。16.生成树协议如何在网络中计算出一棵无环的树？通过桥 ID（优先级 + MAC）选举唯一根桥（ID 最小者）。非根桥选到根桥路径开销最小的端口。每个网段选一个转发端口（路径开销最小或桥 ID 最小者）。剩余端口设为阻塞状态，仅收协议帧，不转发数据。最终形成以根桥为核心的无环树状结构。17.生成树协议如何解决临时环路问题？

原创 TCP/IP之常用协议

① UDP是的，数据传输之前不需要建立连接。② UDP是的，发送端不管接收端是否能收到数据，UDP传输数据的可靠性需要应用层来解决。③ UDP只有，只能做简单的差错控制。④ UDP。⑤ UDP。1.2 UDP包头结构。

原创 TCP/IP协议基础

TCP（传输控制协议）是 TCP/IP 协议族中传输层的核心协议之一，用于在网络中实现可靠的数据传输。精准区分应用，让数据 “对号入座”。给数据 “编序号、确认收”，实现有序传输 + 可靠确认，确保接收方拿到完整、不乱序的数据。动态调节发送速度，避免 “发太猛、收不下”，实现流量控制。检测数据完整性，发现错误直接丢包重传。用标志位控制连接状态（建立、断开、复位 ），还能处理紧急 / 推送数据，让 TCP 适配不同场景（如网页浏览、文件传输、实时通信 ）。

原创 IP地址基本概念

无线AP配置实验：通过对三层交换机、路由器、无线 AP 等设备进行配置，构建包含有线和无线网络的小型网络环境，实现网络设备间的连通性验证 DHCP 服务（为网络内设备自动分配 IP 地址 ）、路由转发（不同网段间数据传输 ）以及无线接入功能，确保 PC 、无线终端等能正常通信，掌握网络设备基本配置方法和小型网络搭建流程。

原创 DHCP中继实验

创建 pool 10，network 192.168.10.0 255.255.255.0 定义可分配网段，default - router 192.168.10.254 设默认网关，为 VLAN 10 内 PC 分配 IP。，让不同 VLAN 的 PC 自动获取对应网段 IP ，模拟企业网中 “核心路由集中分配 IP，接入层跨 VLAN 中继转发” 的典型需求。，让路由器知道去往 VLAN 10、VLAN 20 网段的路径，实现跨网段通信。，和二层交换机配合，构建 VLAN 环境。

原创 VLAN间路由技术（互通）+DHCP技术

实验拓朴图：Switch>enSwitch>en①二层接口（switchport:Access、Trunk):用于二层数据转发，Access接口一般连接终端设备，把设备划分到单个VLAN；Trunk接口常连接其他交换机或支持VLAN的设备，可传递多个VLAN流量。关闭二层转发，开启路由转发，是物理接口，能像路由器接口一样配置IP地址实现不同网段间路由，如下命令，给快速以太网物理接口配置成三层接口，用于跨网段通信。

原创 VLAN技术（隔离）

实验拓扑图：Switch>enVLAN是在一个物理网络上划分出来的逻辑网络。这个网络对应于ISO模型的第二层网络，每个VLAN是一个广播域。第二层的单播、广播和多播帧在一个VLAN内转发、扩散，而不会直接进入其他的VLAN之中。